Ограничения пользователей
Имя пакета: astra-kcm-limits
Версия пакета: 1.0.14+ci6 и выше
Условия работы: вход в сессию с правами администратора, при запуске запрашивается пароль администратора
Общие сведения
Установка ограничений для учетных записей и групп в операционной системе на:
- количество одновременных параллельных сессий;
- использование системных ресурсов;
- максимальный приоритет процессов;
- иные компоненты ОС.
Перед использованием данного модуля рекомендуется ознакомиться с эксплуатационным документом «Руководство по КСЗ. Часть 1».
Запуск
Модуль запускается:
- в графическом интерфейсе:
- через меню Пуск — Параметры — Ограничения программной среды — Ограничения пользователей;
- через классическое меню Пуск — Параметры системы, в окне Параметры системы перейти в раздел Ограничения программной среды — Ограничения пользователей;
- из терминала — выполнить команду:
astra-systemsettings astra_kcm_limits
Просмотр ограничений
В окне модуля возможно просматривать ограничения для учетных записей и/или групп. По умолчанию данные ограничения не установлены. После установки необходимых ограничений, в главном окне модуля будут заполнены соответствующие столбцы, где:
- Домен — определяет, на что распространяется ограничение:
- учетную запись;
- группу;
- учетную запись по умолчанию;
- диапазон идентификаторов пользователей (UID);
- диапазон идентификаторов групп (GID);
- Тип — тип ограничения (например, жесткое, мягкое или наследуемое ограничение — см. Установка ограничения);
- Элемент — указывает на тип ресурса или компонента ОС (см. Описание ограничений);
- Значение — значение для установленного ограничения. В зависимости от вида ограничения может иметь разное выражение (например, размер файла в килобайтах, количество процессорного времени в минутах или приоритет процесса в числовом выражении).
Описание ограничений
| Ограничение | Элемент | Описание |
|---|---|---|
Размер файла дампа ядра | core | Определяет размер файла дампа ядра (в килобайтах). Ограничение позволяет контролировать использование дискового пространства файлом дампа ядра, а также предотвращать замедление работы системы, вызванное нерациональным использованием дискового пространства |
Размер сегмента данных | data | Задает максимальный размер сегмента данных процесса (в килобайтах). Ограничение предотвращает переполнение памяти при использовании больших сегментов данных |
Размер файла | fsize | Задает максимальный размер файла (в килобайтах), который может быть создан пользователем. Ограничение предотвращает создание больших файлов, которые могут заполнить все дисковое пространство |
Размер блокируемой памяти | memlock | Устанавливает объем памяти (в килобайтах), который может быть выделен для процесса в оперативной памяти. Ограничение предназначено для оптимизации использования оперативной памяти |
Количество открытых файлов | nofile | Задает максимальное количество открытых файлов |
Размер стека | stack | Определяет максимальный размер стека (в килобайтах) |
Количество процессорного времени | cpu | Устанавливает максимальное количество процессорного времени (в минутах), которое может быть использовано процессами пользователя |
Количество процессов | nproc | Устанавливает максимальное количество процессов. Позволяет предотвратить атаки, которые порождают бесконечное количество процессов и делают систему неработоспособной |
Объем виртуальной памяти | as | Устанавливает максимальный объем адресного пространства процесса/виртуальной памяти (в килобайтах). Ограничение позволяет предотвратить переполнение памяти, в частности для нестабильных приложений |
Максимальное число сессий | maxlogins | Устанавливает максимальное количество активных сессий для одного пользователя. Для данного элемента возможно установить только жесткое ограничение (см. Установка ограничения) |
Использование Linux-привилегий | nonewprivs | Запрещает получение дополнительных Linux-привилегий (например, с применением SUID или SGID) |
Максимальный приоритет процесса | priority | Определяет максимальный приоритет, который пользователь может задать для своих процессов |
Количество файловых блокировок | locks | Задает максимальное количество файловых блокировок, которые может установить пользователь |
Количество сигналов обработки | sigpending | Задает максимальное количество сигналов для процесса |
Объем очередей сообщений | msgqueue | Определяет максимальный объем очередей сообщений (в байтах), доступных пользователю |
Минимальный приоритет процесса | nice | Определяет минимальное значение приоритета процесса, которое может быть установлено пользователем. Чем больше значение, тем ниже приоритет |
Приоритет реального времени | rtprio | Устанавливает максимальный приоритет реального времени, который пользователь может задать для своих процессов |
Chroot-окружение | chroot | Указывает путь к каталогу, в который будет помещен пользователь после входа в систему (chroot-окружение). Используется для изоляции пользователя |
Установка ограничения
Для установки ограничения необходимо:
- в окне модуля нажать [Добавить];
- в открывшемся окне Добавить поле:
- из выпадающего списка Домен выбрать область применения ограничения:
- Имя пользователя, после чего в открывшемся окне Выбор пользователей выбрать учетную запись и нажать [Да];
- Имя группы, после чего в открывшемся окне Выбор групп выбрать группу и нажать [Да];
- Запись по умолчанию;
- Диапазон UID, после чего в открывшемся окне Выберите диапазон UID для пользователя установить диапазон идентификаторов учетных записей в соответствующих полях и нажать [Да];
- Диапазон GID, после чего в открывшемся окне Выберите диапазон GID для групп установить диапазон идентификаторов групп в соответствующих полях и нажать [Да];
- из выпадающего списка Тип выбрать тип ограничения:
- hard — жесткое ограничение, которое нельзя превысить;
- soft — мягкое ограничение, которое можно увеличить до жесткого;
- [—] —наследуемое ограничение, которое будет использовать значение, установленное в системе по умолчанию (например, определенное системными настройками);
- Элемент — указать тип ресурса или компонента ОС (см. Описание ограничений);
- Значение — выбрать значение для установленного ограничения. В зависимости от вида ограничения может иметь разное выражение (см. Описание ограничений);
- нажать [Да] для сохранения изменений;
- из выпадающего списка Домен выбрать область применения ограничения:
- в окне модуля нажать [Применить], при необходимости в открывшемся окне Требуется аутентификация ввести пароль администратора и нажать [Да]. Для отмены несохраненных изменений и возврата к предыдущим значениям нажать [Сбросить].
ВНИМАНИЕ! При наличии нескольких ограничений, отличающихся друг от друга значением выбранного элемента, применяется ограничение, находящееся ниже по списку. Например, если для элемента maxlogins задать значения, равные 1 и 2, то будет выполнено ограничение, находящееся ниже по списку (со значением, равным 2).
Редактирование установленного ограничения
Для редактирования установленного ограничения необходимо:
- выбрать ограничение в списке и нажать [Изменить];
- в открывшемся окне Изменить поле отредактировать установленное ограничение аналогично процессу его установки (см. Установка ограничения).
Удаление установленного ограничения
Для удаления установленного ограничения необходимо:
- выбрать ограничение в списке и нажать [Удалить];
- нажать [Применить];
- при необходимости в открывшемся окне Требуется аутентификация ввести пароль администратора и нажать [Да].